情シス Secret Method

catch-img

【連載】はじめてのIntuneセットアップ 初心者ガイド ~第3回 ユーザーやデバイスのグループ分け~


目次[非表示]

  1. 1.はじめに
  2. 2.グループ分けの必要性
  3. 3.グループの作成方法
    1. 3.1.作成の流れ
      1. 3.1.1.管理画面から新しいグループの作成を行う
      2. 3.1.2.作成するグループの種類を設定する
      3. 3.1.3.「作成」ボタンをクリックして完了する
    2. 3.2.動的クエリの追加方法
    3. 3.3.動的クエリの検証(プレビュー)
    4. 3.4.代表的なプロパティと演算子
  4. 4.グループのメンバー追加方法
    1. 4.1.グループ画面から追加する
    2. 4.2.ユーザー画面から追加する
  5. 5.まとめ

はじめに

社内のパソコンをExcel管理から脱却したい初心者向けのIntuneセットアップガイド第3回です。

クラウド管理に興味はあるけど、まず何をしたらいいのか分からないとき、このガイドに沿って進めれば、基本的な環境の構築ができます。第1回と第2回では「Microsoft Enterprise Mobility + Security E5(以降EMS)」の無料試用版でアカウントを作成し、ユーザーの追加までを行いました。

第3回の今回は、ユーザーのグループ分けについて解説していきます。
まずは、なぜグループを分ける必要があるのか、その点を理解したうえで具体的なグループの作成方法やグループの割り当て方法を見ていきましょう。


グループ分けの必要性

Intuneでは、ユーザーやデバイスを任意に作成したグループに所属させることができます。
グループに分けると、ユーザーごとに配信するアプリケーションを変えたり、Windowsの構成設定を変更したいとき、グループ単位でできるようになります。

たとえば、会計ソフトを経理部のユーザーのみにインストールしたいとき、経理部に所属しているユーザーのデバイス1台ずつに手作業でアプリケーションのインストール作業を行うことは、とても骨の折れる作業です。

そこで、Intuneで経理部のユーザーだけをまとめたグループを作成し、そのグループに対してIntuneからアプリケーションの配信設定を行うことで、グループに所属しているすべてのユーザーのデバイスに一括でアプリケーションのインストールを行うことができます。あるいは、社内にWindowsとMacが混在しているような場合、デバイスの条件で分けたグループを作成することで、OSごとに異なる設定を配信することもできます。
このように、グループ分けは会社の規模が大きくなればなるほどその恩恵は大きく、また必須となることがお分かりいただけるでしょう。

また規模に関わらず、Intuneではデバイスに対して行う多くの操作が、グループ単位に割り当てることを前提としており、たとえ対象が1台しかなくても、何らかのグループに所属させる必要があります。

なお、ユーザーやデバイスはあらかじめ擬似的に「すべてのユーザー」や「すべてのデバイス」というグループに所属している状態なので、インストールするアプリケーションやセキュリティの条件がすべてまったく同じ場合、追加でグループを作成しないで運用することも可能です。


グループの作成方法

グループ作成方法について、下記のように順を追って説明していきます。

  • 作成の流れ
  • 動的クエリの追加方法
  • 動的クエリの検証(プレビュー)
  • 代表的なプロパティと演算子


作成の流れ

管理画面から新しいグループの作成を行う

Intuneの管理画面である「Microsoft エンドポイントマネージャー管理センター」を開き、サイドバーメニューから「グループ」を選択して「すべてのグループ」を表示させます。

そして、グループの一覧画面で上部にある「+新しいグループ」をクリックします。

  ❖    Microsoft エンドポイント マネージャー管理センター



作成するグループの種類を設定する

新しく作成するグループについて、設定画面が現れるので、それぞれのポイントを見ていきましょう。

2-1. グループの種類
「セキュリティ」と「Microsoft 365」の2種類が選択できますが、Intuneでデバイスの管理を目的としたグループであれば「セキュリティ」を選択します。

なお「Microsoft 365」は、メールなどに代表されるような社内外のユーザー間での共同作業において使用します。そのため「Microsoft 365」のみ、グループのメールアドレスを設定する項目があります。

2-2. グループ名とグループの説明
こちらはそのままの意味で、管理しやすく分かりやすいグループ名とグループの説明を入力すると良いでしょう。

2-3. Azure AD ロールの割り当て
グループ自体に役割(ロール)を割り当てるどうかを「はい」か「いいえ」で選択します。「はい」を選ぶと、ロールリストからロールを割り当てることができるようになります。

グループ自体にロールを割り当てると、以降はそのグループに所属するユーザーにも自動的にロールが割り当てられます。これを有効にすることで、特定のロールに複数のユーザーを担当させたい場合など、ユーザーひとりひとりにロールの割り当て作業を行わずに済みます。

なお、有効に切り替えて設定を完了したあとは、このグループへのロール割り当てを無効に戻すことはできません。
よく使用される代表的なロールについては、Microsoftのヘルプで確認できます。

  ❖    Microsoft 365 管理センターの管理者ロールについて -  Microsoft Docs


2-4. メンバーシップの種類
グループへのメンバーまたはデバイスの追加方法を選択します。

「割り当て済み」は、グループに手動でユーザーやデバイスを追加、削除する方法です。もっとも簡単な方法ですが、変更が発生するたびに手作業で追加、削除作業を行う必要があるため、あえて必要と思われる場合を除いては、あまりおすすめしません。

そこで「動的ユーザー」や「動的デバイス」を選ぶことで、グループへの追加ルールを設定することができ、ユーザーやデバイスの条件に変更があっても、自動的にグループの所属も変更させることが可能です。
これを選択すると「動的クエリの追加」という項目が現れるので、ここからグループへの追加ルールを作成できます。この「動的クエリの追加」については、別項で詳しく解説します。

2-5. グループの所有者
Intuneにすでに登録されているユーザーから、そのグループの所有者(管理者)を指定することができます。

グループの所有者は、グループに対するユーザーの追加や削除、メンバーシップの管理を行うことができます。
また、所有者は複数の指定ができますが、所有者を一度でも指定すると、以降は、グループの所有者を指定しなかった状態に戻せないため、最後の所有者を削除する前に、必ず別の所有者を指定する必要があります。

2-6. メンバー
グループの作成画面から、あらかじめ所属させるユーザーを追加することができます。

メンバーシップの種類が「割り当て済み」なら手動でひとりずつ追加となり、「動的なユーザー/デバイス」なら、リンクの表示が「動的クエリの追加」に変わり、グループへの追加ルールを作成することができます。


「作成」ボタンをクリックして完了する

必要な設定が終わったら、下部にある「作成」ボタンをクリックしてグループを作成します。


動的クエリの追加方法

グループの作成画面で「メンバーシップの種類」を「動的ユーザー」または「動的デバイス」を選ぶと、「動的クエリの追加」でグループへのメンバー追加ルールを作成できます。
感覚的には、メールソフトの仕分けルールと同じようなものだと考えて良いでしょう。

ルール作成画面は次画像のような構成になっており、初心者であればルールビルダーを使用するのが分かりやすいです。ルールビルダーでは「プロパティ」で条件となる属性を選択し、「演算子」でどのような計算を行うかを指定、「値」で具体的な条件となる値を入力します。

なお、ルールビルダーの下にあるテキストボックスは、条件式の構文を直接打ち込んで作成するためのもので、プログラミングの経験があれば馴染みやすいでしょう。

次に、具体的な条件式について例をいくつか紹介します。

例1:経理部に所属している動的ユーザーグループ
グループ作成画面で、メンバーシップの種類は「動的ユーザー」を選択します。

ルール作成画面に移り、プロパティで「department(部門)」を選択し、演算子は「Equals(等しい)」を指定します。そして値には「経理部」と入力します。

例2:経理部に所属している管理職の動的ユーザーグループ
例1と同じように部門の条件式をセットし、「+式の追加」をクリックして、複数の条件を組み合わせることができます。
今回は管理職ということなので、何らかの役職名がついているユーザーを対象にするためには、以下のような条件式を設定します。

プロパティで「jobTitle(役職)」を選択し、演算子は「Not Equals(等しくない)」を指定、値には「null」を入力します。

「null」はプログラミング言語における「空白」という意味で、今回であれば「jobTitle(役職)が空白ではないユーザー」という条件式で、いずれかの管理職であるという表現ができます。

そして「経理部の管理職」ということを示すために、先にセットした部門の条件式を「および(and)」で結びます。

これらをルールビルダーにセットした結果は、次のとおりです。構文テキストボックスには、構文化された条件式も自動的に表示されます。

さて、ここまでで重要なことは、条件式の値はユーザープロファイルに登録された情報をもとにしているということです。

ユーザープロファイルとは、ユーザー追加の際に設定した内容のことです。
つまり、ユーザーに対する適切なグループ分けをするためには、ユーザープロファイルに情報が登録されている必要があるということを覚えておきましょう。

なお、ユーザープロファイルの詳細については、前回の記事を参考にしてください。

  ❖    はじめてのIntuneセットアップ 初心者ガイド 第2回:ユーザーの追加


例3:OSがWindowsの動的デバイスグループ
動的グループは、ユーザーの属性を条件としたものだけでなく、デバイスを条件として作成することもできます。

メンバーシップの種類で「動的デバイス」を選択して、動的クエリの追加画面を表示させます。

すると、デバイスに由来したプロパティを選択できるようになっています。

OSがWindowsの動的デバイスグループを作成するためには、プロパティで「deviceOSType(デバイスのOSタイプ)」を選択し、演算子で「Equals(等しい)」を指定、値には「Windows」と入力します。

なお、「経理部に所属するユーザーのWindowsパソコン」といったように、ユーザーに由来するプロパティと、デバイスに由来するプロパティを同時に含めたグループは作成できません。


動的クエリの検証(プレビュー)

グループへのメンバー追加ルールの作成ができたら、そのルールが正しく機能するか、あらかじめ検証することができます。

ルール作成画面で「ルールの検証(プレビュー)」をクリックします。

「+ユーザーを追加」から検証したいユーザーを選択します。

今回は例として、経理部の動的グループを検証するためにユーザープロファイルで部門名の欄に経理部と入力したユーザーを選択しました。

正しくルールが機能していれば、緑のチェックマークが表示されます。
問題なければ「保存」をクリックしてルールの作成を完了します。

また、うまく機能しなかった場合は、赤いバツ印または不明のマークが表示されるので、ルールの修正や、ユーザープロファイルが正確に入力されているかなどを確認しましょう。



代表的なプロパティと演算子

動的ユーザーや動的デバイスで、使用頻度が高いプロパティと演算子について紹介します。
一般的な用途のグループであれば、これらの組み合わせで、おおむね対応することができるでしょう。

動的ユーザーで使用できるプロパティ

プロパティ名
入力可能な値
説明
userPrincipalName
任意の文字列
ユーザー名
department
任意の文字列または null
部門名
displayName
任意の文字列
表示名
employeeId
任意の文字列
社員番号
jobTitle
任意の文字列または null
役職名


動的デバイスで使用できるプロパティ

プロパティ名
入力可能な値
説明
displayName
任意の文字列
デバイス名
deviceOSType
任意の文字列
OSタイプ
deviceOSVersion
任意の文字列
OSバージョン
deviceModel
任意の文字列
機種名


よく使う演算子

演算子名
説明
Equals
等しい
Not Equals
等しくない
Contains
[値]を含む
Not Contains
[値]を含まない


グループのメンバー追加方法

グループへのメンバー追加は、グループ作成時だけでなく、あとから追加することも可能です。作成済みのグループ画面から追加する方法と、ユーザー画面から追加する方法の2種類を紹介します。


グループ画面から追加する

Microsoft エンドポイントマネージャー管理センターを開き、サイドバーから「グループ」をクリックし、「すべてのグループ」画面から追加したいグループ名をクリックします。

今回は「経理部のグループ」を例とします。

グループの詳細画面が現れるので、「メンバー」「+メンバーの追加」の順にクリックし、追加するメンバーを選択する画面で、任意のメンバーを選び「選択」ボタンをクリックします。
追加するメンバーは複数を同時に選択することもできます。

これで、グループ画面からのメンバー追加は完了です。


ユーザー画面から追加する

Microsoft エンドポイントマネージャー管理センターのサイドバーから「ユーザー」をクリックし、「すべてのユーザー」画面から追加したいユーザー名をクリックします。

今回は「田中太郎」を例とします。

ユーザーの詳細画面が現れるので、「グループ」「+メンバーシップの追加」の順にクリックし、追加するグループを選択する画面で、任意のグループを選び「選択」ボタンをクリックします。

追加するグループは、複数を同時に選択することもできます。

以上で、ユーザー画面をからのグループ追加は完了です。


まとめ

今回は、ユーザーとデバイスを整理するためのグループ作成について解説しました。

グループは、単にアイテムを整理して見やすくするためだけではなく、たとえば部門ごとのグループやパソコンのOSごとで分けたグループを作ることで、グループ単位で設定やアプリケーションの配信を制御することができるようになります。
そのため、ユーザーやデバイスの属性ごとに、どのような設定やアプリケーションが必要か、あらかじめ見通しを持ってから最適なグループ分けをすることが重要となります。

さて次回は、いよいよデバイスを登録していきます。
Intuneに登録できるデバイスは多岐に渡りますが、基本のWindowsパソコンをメインに取り上げていきます。

なお、クラウドによるデバイス管理について、面倒な手続きの委託先をお探しの場合は弊社のシンプルデバイス管理サービスをご検討ください。
Intuneの新規導入だけでなく、デバイスのキッティングおよびユーザーへの配送、その後の運用設計を一括してサポートします。

  ❖    在宅・テレワーク勤務のパソコン管理をサポート|アイエスエフネット




※この記事は、公開時点の情報をもとに作成しています。

川上 冬子
川上 冬子

技術本部の駆け出しエンジニア(自称) これまでバックオフィスを中心に、リソースのアサインメントや、社内の業務改善、マネジメントに携わりました。 自分も勉強しながら、初心者向けにわかりやすく丁寧な解説記事を心がけています。

サービスについてのお問い合わせはこちら

お電話でのお問い合わせはこちら
平日9:00-18:00
ご不明な点はお気軽に
お問い合わせください。
ITソリューションによる
経営課題の解決法がわかるを
こちらからダウンロードできます。

人気記事ランキング

カテゴリ一覧

タグ一覧